Agent Skill: 一个文件夹,如何在90天内席卷AI圈
点击蓝字 关注我们从2022年底ChatGPT横空出世,各种AI新概念层出不穷,LLM、Workflow、Agent、Function Calling、RAG、MCP... 短短三年,AI从只会“聊天
阅读全文OpenClaw机制与安全风险分析
点击蓝字 关注我们OpenClaw简介OpenClaw 是一个自托管的多渠道 AI 智能体网关(Gateway),可以在任意操作系统上运行。它的核心定位是:让开发者和高级用户能够通过自己熟悉的聊天应用
阅读全文当大模型拿起键盘:AI渗透测试实战技巧
点击蓝字 关注我们Preface前言从ChatGPT时期,笔者就在思考大模型可以在安全方面带来什么样的变化,如今各家厂商也都推出了AI赋能安全的产品,在防守测,有AI安全运营、AI异常流量监测研判、A
阅读全文联想全球安全实验室受邀补天白帽黑客沙龙,分享 AI 渗透测试实战硬核技巧
点击蓝字 关注我们往期精彩合集●联想"天骄学堂"入选《未成年人个人信息保护典型案例集》●联想集团第八届网络安全周精彩回顾●聚焦浏览器安全技术突破-联想全球安全实验室 亮相补天白帽黑客盛典分享前沿研究!
阅读全文SSRF 防御:从 AOP 到 ProxySelector 的纵深防御
点击蓝字 关注我们 在传统Web漏洞中,SSRF(服务端请求伪造)往往是攻击者渗透内网的「跳板」,传统的代码级校验在防御DNS 重绑定(DNS Rebinding)攻击时显得力不从心。本文
阅读全文MCP Server 测试
点击蓝字 关注我们一什么是MCPMCP(Model Context Protocol,模型上下文协议)是一套开放的标准协议,用来让大模型应用(Host,如 Claude Desktop、IDE 插件等
阅读全文跨层残差绕过LLM内生安全
点击蓝字 关注我们一、传统白盒越狱 贪婪坐标梯度法(GCG):将越狱建模为离散优化问题,利用模型梯度搜索一段对抗性后缀。做法是评估 字符/Token 替换对损失或目标输出概率的影响,采用贪婪式坐标更新
阅读全文模块化机房建设踩坑纪实
点击蓝字 关注我们前言你有没有这样的经历:业务发展十分迅速,现有的机柜空间已经无法满足业务的快速增长,在多方的压力下你需要尽快解决这个问题。但由于业务存在一定的保密性,现有的物理位置也已经无法容纳更多
阅读全文模块化机房建设踩坑纪实
前言你有没有这样的经历:业务发展十分迅速,现有的机柜空间已经无法满足业务的快速增长,在多方的压力下你需要尽快解决这个问题。但由于业务存在一定的保密性,现有的物理位置已经无法容纳更多的机柜,所以你需要在
阅读全文App 接口安全:被低估的系统安全边界
点击蓝字 关注我们App 接口安全:被低估的系统安全边界前言在一些安全认知中,App 安全往往被理解为“反编译”“加固”“防抓包”等客户端能力。但在真实攻防场景中,安全事件的根源却常常不在 App 本
阅读全文联想"天骄学堂"入选《未成年人个人信息保护典型案例集》
往期精彩合集●联想集团第八届网络安全周精彩回顾●聚焦浏览器安全技术突破-联想全球安全实验室 亮相补天白帽黑客盛典分享前沿研究!●安全实验室专家参与编制《信息安全渗透测试技术要求》团体标准正式发布●联想
阅读全文联想集团第八届网络安全周精彩回顾
点击蓝字 关注我们往期精彩合集●聚焦浏览器安全技术突破-联想全球安全实验室 亮相补天白帽黑客盛典分享前沿研究!●安全实验室专家参与编制《信息安全渗透测试技术要求》团体标准正式发布●联想全球安全实验室亮
阅读全文在智子的监视下,如何好好的聊天?Signal协议简介
点击蓝字 关注我们在智子的监视下,如何好好的聊天?Signal协议简介引言危机纪元8年,罗辑已经悟出黑暗森林法则。但由于智子可以听懂人的语言,并且可以监听所有通讯方式,地球上的通信对于三体已没有任何秘
阅读全文从 XSS 到 RCE:Electron 应用中的真实攻击链
点击蓝字 关注我们从XSS到RCE:Electron 应用中的真实攻击链近年来,安全研究人员在多款 Electron 应用中持续发现一个相似的风险模式:原本被认为只是前端问题的 XSS 漏洞,在特定配
阅读全文小心你的路由器 —— UPnP 协议分析
点击蓝字 关注我们小心你的路由器 UPnP 协议分析一漏洞分析拿到路由器后,第一步当然是从最基本的暴漏面入手。这里直接通过nmap扫描发现路由器默认开启了49152端口,通过搜索可知某些路由器有可能
阅读全文聚焦浏览器安全技术突破-联想全球安全实验室 亮相补天白帽黑客盛典分享前沿研究!
点击蓝字 关注我们往期精彩合集●AI驱动的自动化 Windows 应用安全检测●联想全球安全实验室热招安全领域精英,欢迎志同道合的小伙伴加入!(详见图文)●从开发视角看:Android App代码混
阅读全文AI驱动的自动化 Windows 应用安全检测
点击蓝字 关注我们AI驱动的自动化Windows 应用安全检测一起因:AI能否应用于 Windows 应用程序的安全检测呢?当前AI发展比较迅速,各大行业都在积极地接入AI,让自己的产品具有更多功能,
阅读全文从开发视角看:Android App代码混淆进阶方法
点击蓝字 关注我们代码混淆是一种 “伪装” 技术,通过工具(如 R8/ProGuard等)对 App 的 Java/Kotlin 代码进行处理,让原本清晰的类名、方法名、字段名变成无意义的符号(如 a
阅读全文Intent本地拒绝服务漏洞
点击蓝字 关注我们Intent 本地拒绝服务漏洞一、漏洞原理导出组件(Activity/Receiver/Service) + Intent数据未校验(空值/类型/长度) + 未捕获异常 → 应用崩溃
阅读全文从 ShadowLeak 看 AI Agent 的安全风险
点击蓝字 关注我们从 ShadowLeak 看 AI Agent 的安全风险前言如果说以ChatGPT为开端的一系列大语言模型让AI学会了如何用自然语言进行流畅对话,那么以Deep Research为
阅读全文针对本地MCP的攻击:通过DNS重绑定绕过CORS-PNA机制限制
点击蓝字 关注我们一 前言随着大语言模型的飞速发展,Model Context Protocol (MCP) 以其强大的资源连接与工具调用能力,正迅速成为构建下一代AI应用的关键基础设施。无论是数
阅读全文边缘 AI 的现状与展望
点击蓝字 关注我们FUTURE边缘 AI 的现状与展望The New Era ofArtificial Intelligence Technology科/技/改/变/未/来在科幻电影中,我们总能看到一
阅读全文密钥治理之道:从策略设计到实战落地,构筑密码应用的坚固防线
点击蓝字 关注我们密钥治理之道:从策略设计到实战落地,构筑密码应用的坚固防线前言2025年3月,xAI一名开发者不慎将高权限API密钥上传至公共GitHub仓库,导致密钥暴露近两个月。攻击者借此访问其
阅读全文NTLM协议的核心架构缺陷:持续三十年的身份验证危机
点击蓝字 关注我们深度聚焦NTLM协议设计缺陷NTLM协议的核心架构缺陷:持续三十年的身份验证危机从挑战响应机制解构到身份验证体系暴露的结构性风险:实质确认:微软内部备忘录(2003年泄露)显示:“N
阅读全文